Bài giảng Pháp chứng kỹ thuật số: Bài 9 - TS. Đàm Hồng Hải

Chia sẻ: Vvvvv Vvvvv | Ngày: | Loại File: PPTX | Số trang:40

Thêm vào BST

Báo xấu

85
lượt xem 8
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng "Pháp chứng kỹ thuật số - Bài 9: Điều tra tội phạm trên Mạng không dây" bao gồm các nội dung: Nhu cầu điều tra số với mạng không dây, lý do điều tra mạng không dây, các thiết bị không dây thông dụng, giao thức WEP,... Mời các bạn cùng tham khảo nội dung chi tiết.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bài giảng Pháp chứng kỹ thuật số: Bài 9 - TS. Đàm Hồng Hải

PHÁP CHỨNG KỸ THUẬT SỐ Bài 9: Điều tra tội phạm trên Mạng không dây Giảng viên: TS. Đàm Quang Hồng Hải
Nhu cầu điều tra số với mạng không dây § Ngày nay, các thiết bị mạng và sử dụng mạng không dây có sự bùng nổ trong các thập niên vừa qua. Điển hình là các thiết bị di động, iPad, Laptop, các thiết bị GPS… § Điều tra việc sử dụng các thiết bị không dây đang được chú trọng do việc dễ dàng sử dụng chúng của các nghi phạm § Các thiết bị mạng không dây phổ biến bao gồm: • Thiết bị WiFi, WiMax • Điện thoại không dây, di động • Tai nghe Bluetooh • Các thiết bị hồng ngoại (TV remotes …)
Lý do điều tra mạng không dây § Tìm kiếm một máy tính xách tay bị đánh cắp bằng cách theo dõi nó trên mạng không dây. § Xác định các điểm truy cập giả mạo § Điều tra các hoạt động nguy hiểm hoặc trái phép xảy ra khi nghi pham sử dụng mạng không dây. § Điều tra các cuộc tấn công trên mạng không dây, bao gồm tấn công từ chối dịch vụ (DoS), tấn công mã hóa, chứng thực...
Các thiết bị không dây thông dụng
Wireless Access Point § Wireless Access Point là thiết bị layer 2 quản lý, kết nối các máy tính đầu cuối trong mạng LAN. § WAP có một loạt các tùy chọn cấu hình và khả năng ghi log. § WAP thực hiện các chức năng tương tự như Hub, nhưng là các thiết bị thông minh hơn. § Khả năng cấu hình và ghi log thường có sẵn trong giao diện quản lý web của WAPs cấp thấp. Các WAPs cao hơn ngoài khả năng logging cơ bản, lọc địa chỉ MAC còn có dịch vụ DHCP, chức năng như bộ định tuyến và hỗ trợ syslog và SNMP.
Mạng không dây với WAP
Lý do cần điều tra các WAP § WAPs có thể chứa các bản ghi lưu trữ cục bộ của các lần kết nối, chứng thực thành công và thất bại, và hoạt động của các WAP khác. § WAPs log giúp các nhà điều tra theo dõi các hoạt động của wirelessclient. § Các cấu hình WAP có thể biết cách thức kẻ tấn công có thể truy cập vào mạng và đã lấy được thông tin gì. § Cấu hình WAP có thể bị sửa đổi trái phép như một phần của một cuộc tấn công. § WAP chính nó có thể bị tổn hại
Các giao thức mã hóa Mạng không dây • Để bảo mật cho mạng không dây, người ta sử dụng các giao thức mã hóa mạng không dây để bảo vệ thông tin từ hệ thống Wifi Router và Access Point. • Pháp chứng viên cần phải hiểu rõ các giao thức mã hóa mạng nào mà mạng không dây mình đang điều tra sử dụng. • Hiện nay có các giao thức mã hóa mạng không dây sau: • WEP (Wired Equivalent Privacy) • WPA (WiFi protected Access) • WPA2
Giao thức WEP (Wired Equivalent Privacy) • Đây là giao thức mã hóa đầu tiên phát triển cho mạng không dây. • Giao thức WEP phương thức mã hóa sử dụng thuật toán đối xứng RC4, đa số các thiết bị không dây hỗ trợ WEP với ba chiều dài khóa: 40 bit, 64 bit và 128 bit • Ngày nay WEP đã dần không còn dùng nhiều vì đã bộc lộ nhiều điểm yếu về an ninh, nhưng vẫn có trong các thiết bị không dây và một số tổ chức vẫn còn sử dụng.
Giao thức WPA (WiFi protected Access) • Đó là thế hệ giao thức mã hóa tiếp theo của WEP, • WPA sử dụng TKIP (Temporal Key Integrity Protocol) để thay đổi keys với mỗi gói dữ liệu và thông điệp kiểm tra toàn vẹn bảo vệ một lần nữa, chỉnh sửa và gửi lại các gói dữ liệu để xác định xem các gói tin được sửa đổi hay không. • Đối với người dùng chứng thực WPA sử dụng EAP (Extensible Authentication Protocol) và trong 4 bước bắt tay với người dùng thì keys đã được băm.
Giao thức WPA2 • Giao thức mã hóa được phát triển từ WPA và hiện WPA2 đang là một trong những giao thức bảo mật được sử dụng rộng rãi nhất. • WPA2 sử dụng AES (Advanced Encryption Standard) để mã hóa và chúng an toàn hơn TKIP. • WPA2 hỗ trợ adhoc network trong khi WPA được giới hạn chỉ trong mạng không dây thông thường. • Đặc biệt, AES không dễ bị phá vỡ và đó là điều kiện cần và đủ để làm phức tạp mật khẩu của người dùng.
Một số yêu cầu bảo mật mạng WiFi • Thay đổi tài khoản (username, password ) mặc định truy cập thiết bị WiFi. • Đặt mật khẩu phức tạp, kết hợp chữ hoa, chữ thường, số, ký tự đặc biệt và nên dài tối thiểu 8 ký tự. • Thiết lập mã hóa mạng không dây WPA2 (AES). • Ẩn tên mạng SSID. • Sử dụng bộ lọc truy cập mạng WiFi theo địa chỉ MAC. • Thiết lập thời gian tự động thay đổi khóa mã hóa thành 1800 giây (30 phút). • Bật chức năng tường lửa trên thiết bị WiFi.
Giao thức DHCP • DHCP (Dynamic Host Configuration Protocol) là giao thức cấu hình cho mạng TCP/IP bằng cách tự động gán các địa chỉ IP cho khách hàng khi họ vào mạng. • Phần lớn các hệ thống truy cập mạng không dây sử dụng DHCP để gán địa chỉ IP cho các máy tính người dùng. Đặc biệt là các hệ thống gia đình.
DHCP Server
Bản ghi DHCP • Nếu mạng mà Pháp chứng viên đang thực hiện điều tra sử dụng Dynamic Host Configuration Protocol (DHCP), thông tin vô cùng quan trọng là các hồ sơ tổ chức và các bản ghi DHCP cho khoảng thời gian được xem xét. • Nếu không có các bản ghi DHCP, luật sư hiểu biết về CNTT có thể nghi ngờ liên kết giữa giao thức Internet (IP) và máy tính, và cuối cùng, ai là người sử dụng máy tính này. • Nếu máy tính của nghi phạm vẫn là một phần của mạng, Pháp chứng viên có thể chạy ipconfig /all trên máy tính của nghi phạm.
Bản ghi DHCP trên LINKSYS Access Point
Điều tra quá trình truy cập DHCP • Nếu Pháp chứng viên có quyền truy cập vào máy tính của người bị tình nghi hoặc máy tính quan tâm, Pháp chứng viên có thể tìm thấy các tập tin ghi nhận của địa chỉ IP trong bản ghi sự kiện đăng nhập bảo mật và tường lửa. • Trên máy tính cài Windows, Pháp chứng viên có thể chạy công cụ Event Viewer xem quá trình truy cập của DHCP client.
Công cụ Event Viewer • Event viewer là một công cụ tích hợp trong Windows cho phép xem lại các sự kiện đã xảy ra trong hệ thống một cách chi tiết với nhiều tham số cụ thể như: user, time, computer, services… Mỗi khi Windows khởi chạy, hệ điều hành sẽ bắt đầu ghi lại các hoạt động (event) diễn ra bên trong hệ thống. • Các sự kiện rời rạc được lọc lại thành những sự kiện giống nhau giúp chúng ta lấy được những thông tin cần thiết một cách nhanh nhất. Công cụ này là một phương tiện hiệu quả giúp Pháp chứng viên khám phá những gì đang xảy ra ở "hậu trường" của hệ điều hành.
Chọn xem Event theo DHCP Client
Xem các Event DHCP Client